你如何从外部环境访问谷歌秘密管理器?
在过去的几个小时里,我一直在谷歌上搜索,看看是否可以从AWS Lambda或我的本地PC等外部服务中使用Google Secret Manager。我找不到任何有用的东西,也找不到一些正确描述执行步骤的东西。
我不想玩API,最终通过OAuth进行身份验证,我希望使用客户端库。我该怎么做呢?
到目前为止,我已经提到了以下链接:
- https://cloud.google.com/secret-manager/docs/configuring-secret-manager-描述设置秘密管理器,并提示您设置Google Cloud SDK。
- https://cloud.google.com/sdk/docs/initializing-描述设置云SDK(看起来我没有得到某种配置文件,可以帮助我将客户端库指向正确的GCP项目)
我面临的问题是,我似乎无法访问某种形式的凭证,以便与使用特定GCP项目的机密管理器服务的客户端库一起使用。类似于服务帐户令牌或从外部环境验证和使用服务的方法。
任何帮助都很感激,只是感觉我错过了什么。还是根本不可能做到?
附言:当AWS提供类似的服务时,为什么我使用GCP秘密管理器?后者太贵了。
共有1个答案
我认为你的问题适用于所有GCP服务,没有任何特定于秘密管理器的东西。
如前所述,https://cloud.google.com/docs/authentication/getting-started文档说明如何创建和使用服务帐户。但是这种方法有缺点,现在你需要弄清楚存储服务号密钥(又一个秘密!)
如果您计划从AWS访问GCP秘密管理器,您可以考虑使用:https://cloud.google.com/iam/docs/configuring-workload-identity-federation#aws它使用身份联合将AWS服务号映射到GCP服务号,而不需要在某个地方存储额外的秘密。
-
我正在构建一个需要访问mysql的数据工作室连接器(应用程序脚本)。 我的所有凭据都存储在GCP Secret Manager中,希望我的应用程序脚本从Secret Manager获取凭据。 我查过了https://developers.google.com/apps-script文档,但找不到访问Secret Manager的相关类。 应用脚本获取存储在秘密管理器中的凭据的最佳方式是什么?
-
将来自Google secret Manager的秘密注入Kubernetes部署的最佳实践是什么?我已将Grafana实例的管理员密码存储到Google Secret Manager中。Grafana实例是使用Google Kubernetes引擎上的helm图表部署的。我确实尝试过使用kube secrets init,这是一个Kubernetes变异的网络钩子,它变异了任何引用秘密Googl
-
我有一个使用Bosh部署的concourse环境。它配置有AWS机密管理器。管道机密模板的格式为 我在AWS秘密管理器(其他类型的秘密)中创建了一个秘密,其值如下。 我在团队中设置了一个总汇管道。
-
我按照在Spring Boot上使用GCP设置秘密管理器的说明,在Google Cloud中创建了一个秘密,并在application.properties中添加了以下内容 但是,它不起作用,如果我使用,我可以通过
-
我正在尝试从使用文件,以使用谷歌云平台机密管理器。我已经按照这里的说明操作了,但是我遇到了一个错误,说我没有权限访问这个秘密。 这就是我得到的错误: 我确实创建了一个具有“所有者”权限的服务帐户,下载了它,并使其
-
我在帐户a中存储了一个密钥(USRFTP),我想从EC2框中使用帐户B中的角色ASHISHROLE访问这个密钥。我正在运行python代码来获取密钥,如下所示,在密钥中使用资源策略,KMS策略如下所示,但仍然得到这个问题 clienterRor:调用GetSecretValue操作时发生错误(AccessDeniedException):User:ARN:AWS:STS::AccountB:假定-